Sperren von Zertifikaten in der Praxis - eine Fallanalyse - Oder: Theorie - und Praxis

Viele Anbieter von Internet-Shops, Online Banking etc. vertrauen beim Schutz ihres Internet-basierten Online-Angebots auf Zertifikate von kommerziellen Zertifizierungsdiensleistern. Diese – überwiegend für SSL oder Code-Signing ausgestellten – Zertifikate werden hauptsächlich dazu eingesetzt, die Kunden von der Sicherheit der Dienstleistung zu überzeugen und dadurch dessen Vertrauen zu gewinnen. Dass diese eigentlich einfach aussehende Lösung ihre Tücken hat, hat das im folgenden genauer betrachtete Beispiel des Vorfalls bei Microsoft und VeriSign gezeigt. Das beschriebene Problem ist allerdings nicht spezifisch für kommerzielle Zertifizierungsdienstleister; die gleichen Probleme können auch in firmeninternen Public Key Infrastrukturen (PKIs) auftreten. Ebenso sind solche Probleme auf der Anwendungseite nicht spezifisch für einen Hersteller, sondern treten in verschiedener Form bei den Produkten vieler Hersteller auf. Es geht in diesem Beitrag daher darum, an einem praktischen Beispiel zu zeigen, wo heute noch zentrale Probleme in PKI-Lösungen in der Praxis liegen. Ähnliche Fälle sind bereits in der Vergangenheit (siehe [CERTSUN]) aufgetaucht und werden bei der weiteren Verbreitung von PKIs – das ist zumindest zu befürchten – wahrscheinlich in der Zukunft häufiger auftreten.